¡Un nuevo mes, un nuevo truco DeFi! Si bien la situación y lo que sucedió siguen sin estar claros, parece que un hacker se ha aprovechado del protocolo financiero descentralizado Ankr.
Como dijo el CEO de Binance, Changpeng Zhao (CZ), hace unas horas, existen posibles ataques a Ankr y Hay. Según el análisis inicial, la clave privada del desarrollador fue pirateada, lo que permitió al atacante manipular un contrato inteligente de Ankr.
La empresa de seguridad blockchain PeckShield declaró a través de Twitter:
Nuestro análisis muestra que el contrato de token $aBNBc tiene un error de menta ilimitado. Específicamente, mientras que mint() está protegido con el modificador onlyMinter, hay otra función (con 0x3b3a5522 función de firma) que omite por completo la verificación de la persona que llama para tener una menta arbitraria.
A través de esto, el atacante pudo acuñar 6 cuatrillones de tokens aBNBc, que convirtió en alrededor de 5 millones de USDC. CZ informó que Binance detuvo los retiros hace unas horas. También congeló alrededor de $ 3 millones que el pirata informático movió a Binance.
Posibles hacks en Ankr y Hay. El análisis inicial es que la clave privada del desarrollador fue pirateada y el pirata informático actualizó el contrato inteligente a uno más malicioso. Binance detuvo los retiros hace unas horas. También congeló alrededor de $ 3 millones que los piratas informáticos mueven a nuestro CEX.
— CZ ? Binance (@cz_binance) 2 de diciembre de 2022
Los usuarios de Binance no se ven afectados en todo el caos
El precio del token aBNBc se ha desplomado casi un 100 % desde el exploit. Informes recientes sugieren que el atacante ya transfirió algunos de los fondos robados a Tornado Cash. Parte de la criptomoneda saqueada se unió a través de Celer y deBridgeGate, según la empresa de seguridad PeckShield.
Esa misma empresa había realizado una auditoría para Ankr hace unos meses, advirtiendo de un “problema de confianza con las claves de administración” que privilegiaba la acuñación de tokens aBNB. Si bien el equipo de Ankr “reconoció” la advertencia, parece que no la arreglaron.
Recientemente, la cadena BNB introdujo la función de participación líquida a través de Ankr, que permitió a los usuarios ganar intereses al asignar tokens BNB al contrato de participación líquida y recibir aBNBc.
Sin embargo, Binance rápidamente dio el visto bueno, diciendo que el equipo de BNB está en contacto con las partes afectadas. “Esto no es un ataque contra #Binance, y sus fondos están SAFU en nuestro intercambio”, dijo en un comunicado a través de Twitter.
Dado que el pirata informático vació casi por completo los fondos de liquidez de aBNBc en PancakeSwap y ApeSwap, el precio de aBNBc cayó un 99,5 % después del exploit.
Comerciante oportunista convierte menos de $ 3k en $ 15.5 millones
Según la empresa de análisis Lookonchain, un comerciante oportunista se aprovechó de la situación y obtuvo una ganancia de 15,5 millones de BUSD con una apuesta mínima de 10 BNB.
Después de que el explotador de Ankr se deshiciera de aBNBc, el comerciante compró 183 885 aBNBc con solo 10 BNB por un valor de $ 2879, luego depositó 183 885 aBNBc con Helio como garantía y tomó prestados 16 millones de HAY. Al final, vendió 16 millones de HAY y recibió 15,5 millones de BUSD.
Como resultado, la moneda estable HAY vio una caída masiva. El precio de la moneda estable cayó a $0,21 en ocasiones, pero aun así logró recuperarse gradualmente a $0,61 en el momento de la publicación.
En particular, Binance Labs realizó una inversión estratégica en Ankr en agosto de 2022. La inversión de Binance Labs tenía como objetivo ayudar a Ankr a mejorar aún más la escalabilidad de las redes blockchain.
Tal vez a raíz de la noticia, el precio de BNB experimentó una caída del 3,1% y se cotizaba a $290 en el momento de la publicación.
Precio de BNB, gráfico de 4 horas. Fuente: TradingView